Implementeringen af NIS2-direktivet bliver forsinket

NIS2-direktivet er en central del af EU’s store lovpakke inden for digitalisering og cybersikkerhed. NIS2 har til formål at styrke cyberrobustheden hos organisationer, som opererer inden for en bred vifte af sektorer.

Overordnet indebærer NIS2-kravene blandt andet, at de omfattede organisationer – ud fra en risikobaseret tilgang – skal styre cyberrisici på ledelsesniveau, implementere passende foranstaltninger og underrette myndigheder om sikkerhedshændelser.

Folketingets Udvalg for Digitalisering og It stillede den 9. januar 2024 et spørgsmål om status på implementeringen af NIS2 i dansk ret, som Forsvarsministeriet den 5. februar 2024 har besvaret skriftligt. Særligt to forhold i besvarelsen er værd at bide mærke i.

Det første forhold er, at Forsvarsministeriet oplyser, at implementeringen af NIS2-direktivet sker efter regeringens principper om minimumsimplementering. Det betyder, at de organisationer, som direktivet omfatter, ikke bliver pålagt mere byrdefulde krav end den forventede implementering i sammenlignelige EU-lande. Vi ved derfor allerede nu, at udkastet til lovforslaget vil lægge sig tæt op ad direktivets ordlyd.

Det andet væsentlige forhold er, implementeringsfristen for direktivet, den 17. oktober 2024, forventeligt bliver overskrevet. Forsvarsministeriet oplyser i en nyhed på deres hjemmeside, at forsinkelsen forventeligt bliver på ca. 2 måneder.

Forsvarsministeriet forventer, at forslaget til hovedloven bliver sendt i offentlig høring i foråret 2024 og med en forventet fremsættelse for Folketinget i åbningsugen i oktober 2024.

Forsinkelsen i implementeringsprocessen betyder dog ikke, at organisationer bør vente med at tage hul på det omfattende arbejde, der kan være forbundet med at skulle overholde NIS2-kravene. Tværtimod er to yderligere måneder, inden reglerne finder anvendelse, ikke til stor hjælp, hvis arbejdet med cybersikkerhed endnu ikke er påbegyndt i den enkelte organisation.

Hvis din organisation ikke allerede har foretaget en NIS2- og cybersikkerhedsvurdering, anbefaler Bech-Bruun derfor, at en sådan vurdering bør foretages snarest muligt.

Hele Forsvarsministeriets svar på spørgsmålet om implementeringen af NIS2 i dansk ret kan læses her.

Forsvarsministeriets pressemeddelelse om den forventede forsinkelse kan læses her.